[lacnog] IPSet en Cisco?
Manuel José Linares Alvaro
cheche en udg.co.cu
Jue Abr 5 11:29:15 BRT 2018
Gracias, muy buena solución la que me propone. Honestamente no se si la IOS del 2911 tiene o no ACE, revisaré. De ser de ese modo, la solución que me propone es muy buena.
Jorge proponía usar URLs en vez de direcciones IP, y evidentemente tiene razón, sin embargo, he pensado que ante todo no veo el modo de hacerlo en cisco, y además, las redes sociales tienen muchos dominios que no son los propios de las URL, Facebook, por solo citar un ejemplo, así que vendría siendo mas o menos lo mismo que usar IPs.
De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Jose Luis Gaspoz
Enviado el: jueves, 5 de abril de 2018 08:27
Para: lacnog en lacnic.net
Asunto: Re: [lacnog] IPSet en Cisco?
Manuel:
Si tenes IOS mas o menos nuevas con ACE (Aplication Control Engine) podrías hacer un class-map con control en capa 7 y establecer la politica de NAT (no se que equipo tenes y tu ancho de banda, pero con cuidado porque la inspeccion en capa 7 consume recursos).
Sería algo así (obvio esto es solo la estructura para trafico a Facebook, deberias integrar toda tu politica de Nat ).... acá el ejemplo con trafico entrante en Fast 0/0 y saliente en Fast 0/1
class-map match-any WEB-FACEBOOK
match protocol http url "*facebook*"
policy-map multi-match NAT-FACEBOOK
class WEB-FACEBOOK
nat dynamic 1 fastethernet 0/1
interface FastEthernet 0/0
ip address 192.168.1.100 255.255.255.0
service-policy input NAT-FACEBOOK
interface FastEthernet 0/1
ip address 172.27.16.2 255.255.255.0
nat-pool 1 172.27.16.15 172.27.16.24 netmask 255.255.255.0 pat
Y si querés le podes aplicar a la misma clase en la política una limitación de ancho de banda a ese tráfico (esto depende de la plataforma que tengas, por ahí no podes poner una politica de cir y tenes que hacer un shape)
policy-map multi-match NAT-FACEBOOK
class WEB-FACEBOOK
nat dynamic 1 fastethernet 0/1
police cir 800000 pir 836000 conform-action transmit exceed-action drop
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523
From: Alejandro Acosta <mailto:alejandroacostaalamo en gmail.com>
Sent: Wednesday, April 04, 2018 10:39 AM
To: lacnog en lacnic.net <mailto:lacnog en lacnic.net>
Subject: Re: [lacnog] IPSet en Cisco?
Hola Manuel,
Voy a atreverme a responder, pero antes tengo que decir que quizás existan cosas más modernas.
En base a lo que dices, suena tan sencillo como tener un ACL (con nombre) y luego asociar eso a una sola directiva de NAT.
Te refieres a eso, no?. En tu caso quedaría algo como:
access-list 150 remark NAT-FACEBOOK
access-list 150 permit ip 10.25.62.0 0.0.0.255 188.64.226.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 209.237.219.0 0.0.0.255
access-list 150 permit ip 10.25.62.0 0.0.0.255 157.240.14.0 0.0.0.255
ip nat pool FB 200.14.53.3 200.14.53.3 prefix-length 32
ip nat inside source list 150 pool Parmalat overload
Saludos,
Alejandro,
El 4/4/18 a las 8:56 a. m., Manuel José Linares Alvaro escribió:
Gracias por responder Rogerio.
Me explico mejor.
En varias distribuciones de Linux, con IPTables puedo hacer un NAT muy fácilmente.
Supongamos que deseo hacer un nat solamente con destino a las direcciones de Facebook:
Para ello, si tuviera un soft router usaría ipset para incluir todas las direcciones de destino en un solo pool:
1- <!--[if !supportLists]--><!--[endif]-->Creo el pool allow-facebook-nets
# ipset create allow-facebook-nets hash:net
2- <!--[if !supportLists]--><!--[endif]-->Agrego al pool allow-facebook-net, las direcciones de destino, en este caso las de facebook:
# add allow-facebook-nets 188.64.226.0/24
# add allow-facebook-nets 209.237.219.0/24
# add allow-facebook-nets 157.240.14.0/24
……………
3- <!--[if !supportLists]--><!--[endif]-->Luego es sencillo hacer un nat desde un bloque o una ip determinada, con destino al pool allow-facebook-net
# iptables -t nat -A POSTROUTING -s 10.25.62.0/24 -m set --match-set allow-facebook-nets dst -o bond0.200 -j SNAT --to 200.14.53.3
De esta forma agrupo en solo una regla, todo lo que vaya con destino a cualquiera de las direcciones de facebook. De lo contrario, tendría que poner en mi IPTables cientos de reglas, solución impensable.
Esto es un ejemplo bastante incompleto…
Ahora quiero hacer algo similiar, ante la posibilidad de reemplazar un router-firewall que tengo sobre fedora-core, por un cisco 2911. Por eso pregunto que si en Cisco IOS puedo hacer algo similiar.
Saludos,
MAnuel
De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Rogerio Mariano
Enviado el: miércoles, 4 de abril de 2018 08:36
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] IPSet en Cisco?
Hola Jorge,
Tal vez su sugerencia sea el camino más fácil.
Ejemplo de una traducción que tiene en el IPTables para un NAT tradicional
-A POSTROUTING -s 10.5.10.41/32 <http://10.5.10.41/32> -d ! 10.5.0.0/16 <http://10.5.0.0/16> -j SNAT --to-source xx.yy.124.161 (sanitised public address)
Lo traduje como "Para paquetes con una dirección de origen de 10.5.10.41 y una dirección de destino fuera del rango 10.5.0.0/16 <http://10.5.0.0/16> , luego traduzco la dirección de destino a xx.yy.124.161
Sobre esa base, creé la siguiente configuración
ip access-list extended lacnog1
deny ip host 10.5.10.41 10.5.0.0 0.0.255.255
remark denies traffic source 10.5.10.41 dest 10.5.0.0 0.0.255.255
permit ip host 10.5.10.41 any
remark permits traffic source 10.5.10.41 to any
ip nat pool natpool1 xx.yy.124.161 xx.yy.124.161 netmask 255.255.255.252
ip nat inside source list lacnog1 pool natpool1
Un abrazo,
Rogerio Mariano
2018-04-04 8:59 GMT-03:00 Jorge Villa <villa en reduniv.edu.cu <mailto:villa en reduniv.edu.cu> >:
Hermano, como estas?
No se si entiendo bien lo que quieres hacer, pero bueno, te hago un par de comentarios.
Esta variante de usar objetos (que explica José Luis) está disponible en Cisco, a partir de IOS 12.4(20)T. Es bastante más flexible para algunas cosas que el uso de las tradicionales ACL, aunque como tu caso es únicamente con NAT, creando las combinaciones y criterios adecuados en una ACL, en teoría, puedes solucionarlo sin mayores complicaciones.
De todos modos, en mi opinión, la mejor manera de hacer esto es basado en dominios y no en IP; ya que cualquier red social emplea múltiples direcciones IP (acorde a su arquitectura, hosting, balanceadores de carga, etc., etc., etc.) y no tienes control sobre esto. Así que me parece no te va a ser muy efectivo, en la forma en que lo que estás queriendo hacer.
Saludos,
Jorge
De: LACNOG <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> > en nombre de Jose Luis Gaspoz <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar> >
Responder a: Jose Luis Gaspoz <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar> >, Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net> >
Fecha: miércoles, 4 de abril de 2018, 7:39 AM
Para: Manuel José Linares Alvaro <cheche en udg.co.cu <mailto:cheche en udg.co.cu> >, Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net <mailto:lacnog en lacnic.net> >
Asunto: Re: [lacnog] IPSet en Cisco?
Manuel:
No se si te réferis a esto, se pueden crear objetos de Network y si queres también crear grupos de objetos de network .
También podes crear objetos de servicios y grupo de objetos de servicios...
Ejemplo:
object network NAGIOS
host 172.16.1.5
object-group network HOST-PARA-ALGO
network-object subnet 192.168.206.0 255.255.255.0
network-object host 172.20.1.97
network-object host NAGIOS
Y en los servicios:
object-group service SERVICIOS-PARA-ALGO tcp
port-object eq 1433
port-object eq www
o agrupar objetos de servicios en un objeto de grupo de servicios:
object-group service GRUPO_DE_SERVICIOS
service-object object obj-udp-des-12000
service-object object obj-udp-des-12001
service-object object obj-udp-des-12002
service-object object obj-udp-des-12003
service-object object obj-udp-des-12004
Podes definir objetos para origenes o destinos:
object service obj-tcp-source-range-1025-65535-eq-80
service tcp source any destination eq www
Y después lo ocupas donde quieras (NAT, policies routing, filtros, inspecciones, ACLs). Acá depende de que equipo sea (router, ISR, ASA, etc) va a ser la estructura:
EJ (no estan los ejemplos de los obj, pero te muestro la estructura):
nat (Router,outside) source dynamic obj-172.16.0.0 obj-10.71.176.163 destination static EMULACION1 EMULACION1 service obj-tcp-source-range-1025-65535-eq-992 obj-tcp-eq-992
Saludos
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523
From: Manuel José Linares Alvaro <mailto:cheche en udg.co.cu>
Sent: Tuesday, April 03, 2018 10:39 PM
To: Latin America and Caribbean Region Network Operators Group <mailto:lacnog en lacnic.net>
Subject: [lacnog] IPSet en Cisco?
hola colegas !!
Una consulta sobre Cisco:
En la mayoría de las distribuciones de linux existe el ipset, servicio que permite hacer un agregado de direcciones IP, lo cual facilita luego en firewalls como iptables, referirse mediante un solo nombre, a todo un conjunto de direcciones, redes, etc.
Quisiera hacer algo similar en Cisco, para poder hacer un NAT desde mi red interna a redes sociales.
Repito que en un router / firewall con linux es simple combinando ipset con iptables, ahora como implementarlo en cisco? pues no veo nada por el estilo a ipset.
Gracias,
Manuel.
* * * * *
Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
Imagen del Satélite. <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
<http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
Libre de virus. <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> www.avg.com
_____
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________ LACNOG mailing list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
* * * * *
Universidad de Granma, Bayamo. M.N. <http://www.udg.co.cu>
Imagen del Satélite. <http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg>
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_____
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
* * * * *
Universidad de Granma
http://www.udg.co.cu
Tiempo:
http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180405/29631cdb/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 350 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20180405/29631cdb/attachment-0001.jpg>
Más información sobre la lista de distribución LACNOG